Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema MonsterV2

Zlonamerna programska oprema MonsterV2

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Raziskovalci kibernetske varnosti so nedavno razkrili prej nedokumentiranega akterja grožnje, ki so ga sledli kot TA585 in je izvajal sofisticirane kampanje lažnega predstavljanja in spletnega vbrizgavanja, da bi razširil družino standardne zlonamerne programske opreme, znane kot MonsterV2.

TA585 – Operater, ki je lastnik celotne verige uničenja

TA585 izstopa, ker se zdi, da nadzoruje celotno verigo napadov od začetka do konca. Namesto da bi kupoval distribucijo, zakupoval dostop od posrednikov za začetni dostop ali se zanašal na prometne storitve tretjih oseb, TA585 upravlja svojo infrastrukturo, mehanizme dostave in orodja za namestitev. Analitiki opisujejo gručo kot dovršeno: akter uporablja spletne injekcije, filtriranje in preverjanje okolja ter več tehnik dostave, da bi povečal uspeh in se izognil analizi.

Lažno predstavljanje, ClickFix in vabe na temo IRS – priročnik socialnega inženiringa
Zgodnje kampanje so se zanašale na klasične vabe za lažno predstavljanje, povezane z ameriško davčno upravo (IRS). Tarče so prejemale sporočila, ki so kazala na lažne URL-je, ki so odprli PDF; ta PDF je vseboval povezavo do spletne strani, ki je uporabljala taktiko socialnega inženiringa ClickFix. ClickFix žrtev prelisiči, da izvede ukaz prek pogovornega okna Zaženi v sistemu Windows ali terminala PowerShell, ki nato izvede nadaljnji skript PowerShell za pridobitev in namestitev MonsterV2.

Spletne injekcije in lažni prekrivni elementi CAPTCHA

V naslednjih valovih, ki so jih opazili aprila 2025, se je TA585 preusmeril k ogrožanju legitimnih spletnih mest z zlonamernimi injekcijami JavaScripta. Te injekcije so ustvarile lažne prekrivne elemente za preverjanje CAPTCHA, ki so ponovno sprožili tok ClickFixa in na koncu zagnali ukaz PowerShell za prenos in zagon zlonamerne programske opreme. Injektiranje JavaScripta in z njim povezana infrastruktura (zlasti intlspring.com) sta bila povezana tudi z distribucijo drugih kradljivcev kode, vključno z Rhadamanthys Stealerjem.

Zloraba GitHuba in lažna varnostna obvestila

Tretji sklop kampanj TA585 je zlorabil mehanizem obveščanja GitHuba: akter je uporabnike GitHuba označil v goljufivih »varnostnih« obvestilih, ki so vsebovala URL-je, ki so žrtve usmerjali na spletna mesta, ki jih nadzorujejo akterji. Ta lažna opozorila GitHuba so bila še en vektor, ki je bil uporabljen za usmerjanje žrtev v isto verigo ClickFix/PowerShell.

Okvir CoreSecThree – hrbtenica izvajanja

Gruče aktivnosti web-inject in fake-GitHub so bile povezane s CoreSecThree, ogrodjem, ki ga raziskovalci označujejo za »sofisticiranega« in je v uporabi od februarja 2022. CoreSecThree se dosledno uporablja za širjenje zlonamerne programske opreme za krajo podatkov v več kampanjah.

MonsterV2 — Izvor in različice

MonsterV2 je večnamenska grožnja: trojanec za oddaljeni dostop (RAT), krajo programske opreme in nalagalnik. Raziskovalci so ga prvič opazili v oglaševanju na kriminalnih forumih februarja 2025. Naveden je tudi kot »Aurotun Stealer« (napačno črkovanje besede »autorun«) in se je prej distribuiral prek CastleLoaderja (znanega tudi kot CastleBot). Prejšnje različice aktivnosti TA585 so distribuirale Lumma Stealer pred prehodom na MonsterV2 v začetku leta 2025.

Komercialni model in geofencing

MonsterV2 prodaja rusko govoreči operater. Cene na kriminalnih tržnicah so naslednje: standardna izdaja stane 800 USD na mesec, izdaja Enterprise pa 2000 USD na mesec. Standardna različica vključuje podporo za krajo in nalaganje programske opreme, skriti VNC (HVNC) in protokol Chrome DevTools Protocol (CDP). Komponenta za krajo programske opreme je konfigurirana tako, da se izogne okužbi držav Skupnosti neodvisnih držav (SND).

Pakiranje, antianaliza in delovanje med izvajanjem

MonsterV2 je običajno opremljen s kriptirnim programom C++ z imenom SonicCrypt. SonicCrypt pred dešifriranjem in nalaganjem koristnega tovora zagotavlja večplastna preverjanja pred analizo, kar omogoča izogibanje zaznavanju. Med izvajanjem koristni tok dešifrira, razreši funkcije Windows API-ja, ki jih zahteva, in poskuša pridobiti privilegije. Nato dekodira vdelano konfiguracijo, ki mu naroči, kako stopiti v stik z njegovim sistemom Command-and-Control (C2) in katera dejanja naj izvede.

Konfiguracijske zastavice, ki jih uporablja MonsterV2, vključujejo:

  • anti_dbg – ko je vrednost True, zlonamerna programska oprema poskuša zaznati in se izogniti razhroščevalnikom.
  • anti_sandbox – ko je vrednost True, zlonamerna programska oprema poskuša zaznati peskovnik in uporablja osnovne tehnike proti peskovniku.
  • aurotun – ko je vrednost True, zlonamerna programska oprema poskuša vzpostaviti obstojnost (napačno črkovanje je vir imena »Aurotun«).
  • priviledge_escalation – ko je vrednost True, zlonamerna programska oprema poskuša zvišati privilegije na gostitelju.

Mreženje in vedenje C2

Če MonsterV2 uspešno doseže svoj C2, najprej pošlje osnovno sistemsko telemetrijo in geolokacijo s poizvedbo javni storitvi (raziskovalci so opazovali zahteve do api.ipify.org). Odgovor C2 vsebuje ukaze za izvedbo. V nekaterih opazovanih operacijah so bili koristni tovori, ki jih je MonsterV2 spustil, konfigurirani za uporabo istega strežnika C2 kot drugi koristni tovori (na primer StealC), čeprav te druge kampanje niso bile neposredno pripisane TA585.

Dokumentirane zmogljivosti MonsterV2 so:

  • Ukradite občutljive podatke in jih iztrgajte na strežnik.
  • Izvedite poljubne ukaze prek cmd.exe ali PowerShell-a.
  • Prekinite, začasno ustavite ali nadaljujte procese.
  • Vzpostavite povezave HVNC z okuženim gostiteljem.
  • Zajemite posnetke zaslona namizja.
  • Zaženite keylogger.
  • Naštevanje, manipuliranje, kopiranje in izvlečenje datotek.
  • Zaustavite ali zrušite sistem.
  • Prenesite in izvedite koristne tovore naslednje stopnje (opaženi primeri: StealC in Remcos RAT).

Smernice za blaženje in odkrivanje

Zaščitniki bi morali TA585 obravnavati kot zmogljivega, vertikalno integriranega operaterja, ki združuje socialni inženiring, ogrožanje spletnih mest in večplastne tehnike preprečevanja analize. Možnosti zaznavanja vključujejo: spremljanje sumljivih dejavnosti pogovornih oken PowerShell/Run, ki izvirajo iz spletnih tokov, prepoznavanje anomalnih injekcij JavaScripta na legitimnih spletnih mestih, blokiranje znanih binarnih datotek, zapakiranih s SonicCrypt, z vedenjskimi zaznavami in označevanje nepričakovanih povezav HVNC/daljinskega upravljanja in vzorcev izkrcanja datotek. Spremljanje komunikacije z nenavadnimi gostitelji C2 in poizvedbe do javnih storitev za odkrivanje IP-naslovov (npr. api.ipify.org) v povezavi z odhodnimi prenosi podatkov lahko prav tako odkrije okužbe.

Povzetek

TA585 predstavlja odpornega akterja grožnje, ki ohranja nadzor nad distribucijo, dostavo in delovanjem koristnega tovora. Z združevanjem lažnega predstavljanja, vbrizgavanja JavaScripta na ravni spletnega mesta, lažnih prekrivnih elementov CAPTCHA in komercialnega koristnega tovora MonsterV2 (ki vsebuje SonicCrypt) je akter sestavil zanesljivo, večvektorsko zmogljivost za krajo podatkov in oddaljeni nadzor. Glede na operativno zrelost akterja in modularni nabor funkcij MonsterV2 bi morale organizacije dati prednost odkrivanju zagonov ukazov prek spleta, verig prenosov in izvajanja PowerShell, binarnih datotek, spakiranih s SonicCrypt, in sumljivih dejavnosti HVNC ali izkrcanja.

V trendu

Najbolj gledan

Nalaganje...